Za pristup cjelovitom i ažurnom tekstu ovog dokumeta, molimo:

Na temelju članka 34. Zakona o zaštiti tajnosti podataka ("Narodne novine", broj 108/96), a u svezi s člankom 29. Zakona o sigurnosnim službama Republike Hrvatske ("Narodne novine" broj 32/02), donosim

PRAVILNIK

O INFORMACIJSKOJ SIGURNOSTI MINISTARSTVA OBRANE I ORUŽANIH SNAGA REPUBLIKE HRVATSKE

(Objavljeno u "Narodnim novinama", br. 168 od 23 listopada 2003)

I. OPĆE ODREDBE

Članak 1.

Ovim se Pravilnikom uređuju minimalni standardi za zaštitu klasificiranih informacija i pratećih servisa i resursa u komunikacijskim, informacijskim i drugim elektroničkim sustavima za stvaranje, pohranu, procesiranje ili prijenos (u daljnjem tekstu: obradu) klasificiranih informacija.

Članak 2.

Pod pratećim servisima i resursima u smislu ovoga Pravilnika podrazumijevaju se servisi i resursi koji su neophodni za osiguravanje postizanja sigurnosnih ciljeva na sustavu (na primjer: kriptografski mehanizmi i oprema, komunikacijski sigurnosni materijali i komunikacijska oprema, programska rješenja i kontrola fizičke zaštite).
Pod klasificiranim informacijama podrazumijevaju se sve informacije koje su u skladu sa Zakonom o zaštiti tajnosti podataka ("Narodne novine", broj 108/96) i Pravilnikom o zaštiti tajnosti podataka obrane ("Narodne novine", broj 112/97) označene određenim stupnjem tajnosti.

Članak 3.

Ustrojavanjem i primjenom sustava informacijske sigurnosti postiže se:
– osiguranje povjerljivosti informacija pomoću kontrole pristupa do informacija i pratećih servisa i resursa,
– integritet klasificiranih informacija i pratećih servisa i resursa,
– dostupnost klasificiranih informacija i pratećih servisa i resursa.

Članak 4.

Područje sigurnosti informacija obuhvaća klasificirane informacije u jednom od sljedećih oblika:
– pisane informacije,
– informacije pohranjene na elektroničkim medijima i na računalima (COMPUSEC) i informacija o pratećim servisima i resursima,
– informacija u sustavima za prijenos podataka (COMSEC) i informacija o pratećim servisima i resursima.

Članak 5.

Poslove nadzora primjene mjera zaštite i sigurnosti pri čuvanju tajnih podataka obavlja Vojna sigurnosna agencija (u daljnjem tekstu: VSA).

II. INFORMACIJSKA SIGURNOST (INFOSEC)

Članak 6.

Područje informacijske sigurnosti obuhvaća sigurnost informacija na elektroničkim medijima i računalima (COMPUSEC) te sigurnost informacija u sustavima za prijenos podataka (COMSEC).

Članak 7.

Dostizanje zadovoljavajuće razine informacijske sigurnosti postiže se kroz definiranje i provedbu sigurnosnih mjera na području:
– fizičke zaštite,
– sigurnosti osoblja,
– sigurnosti medija za pohranu podataka,
– informacijske sigurnosti.

Fizička zaštita

Članak 8.

Pod provedbom mjera fizičke zaštite podrazumijeva se definiranje i uspostava posebno štićenih područja u kojima se komunikacijsko-informacijski sustavi koriste za stvaranje, prikaz, pohranu, procesiranje ili prijenos informacija klasificiranih stupnjem tajnosti "POVJERLjIVO" i višim.

Članak 9.

Posebno štićena područja iz članka 8. ovoga Pravilnika trebaju zadovoljiti sljedeće uvjete:
– jasno definiranu i zaštićenu granicu područja koja obuhvaća i kontrolu svih ulaza i izlaza,
– sustav kontrole ulaza koji dopušta ulazak jedino osobama koje imaju odgovarajuću autorizaciju za pristup u to područje i osobama s odgovarajućim odobrenjem za pristup do klasificiranih informacija,
– jasno definiran stupanj tajnosti i vrsta informacija koje se nalaze u posebno štićenom području.

Članak 10.

Za sve osobe koje nemaju odgovarajuću autorizaciju za ulazak u posebno štićeno područje nužno je pripremiti pratnju ili drugi ekvivalentan način kontrole radi onemogućavanja neovlaštenog pristupa do klasificiranih informacija.

Članak 11.

Za definiranje i uspostavu posebno štićena područja iz članka 8. ovoga Pravilnika zadužuju se čelnici ustrojstvenih jedinica razine načelnika službe u Ministarstvu obrane, odnosno načelnika uprave, načelnika odjela, grana i korpusa, zapovjednika brigade, zapovjednika samostalne bojne ili zapovjednika samostalne satnije u Oružanim snagama (u daljnjem tekstu: čelnici ustrojstvenih jedinica).

Sigurnost osoblja

Članak 12.

Osobe s odobrenjem za pristup bilo kojoj formi klasificiranih informacija moraju imati sigurnosnu provjeru. Sigurnosna provjera je obavezna i za osobe koje su autorizirane za pristup do pratećih servisa i resursa te za osobe koje štite prateće servise i resurse iako te osobe nemaju pristup do klasificiranih informacija.

Članak 13.

Odobrenje za pristup do klasificiranih informacija i autorizaciju za ulazak u posebno štićeno područje daje čelnik ustrojstvene jedinice isključivo uz suglasnost VSA.
Suglasnost za odobrenje i autorizaciju iz stavka 1. ovoga članka daje VSA na zahtjev čelnika ustrojstvenih jedinice, a na temelju rezultata provedene sigurnosne provjere.

Sigurnost medija za pohranu podataka

Članak 14.

Svi mediji za pohranu podataka moraju biti jednoznačno identificirani, spremljeni i zaštićeni u skladu s najvećim stupnjem tajnosti informacije koja je pohranjena na mediju. Vrsta tajne, stupanj tajnosti i oznaka žurnosti mora biti jasno i uočljivo označena na fizičkim nosačima za čuvanje i prijenos podataka (papiru, magnetskoj vrpci, disketi, disku, CD-u itd.). Oznake tajnosti dokumenata koji sadrže tajne podatke imaju i svi njihovi prilozi.

Članak 15.

Mjere identifikacije, spremanja i zaštite medija za pohranu podataka na kojima su pohranjene klasificirane informacije moraju biti poduzete u skladu s Pravilnikom o zaštiti tajnosti podataka obrane.

Informacijska sigurnost

Članak 16.

Svi komunikacijsko-informacijski sustavi koji obrađuju klasificirane informacije trebaju biti štićeni primjenom sigurnosnih mjera radi postizanja povjerljivosti, integriteta i dostupnosti informacija i pratećih servisa i resursa.
Sigurnosne mjere trebaju uključiti sljedeće:
– mehanizme za pouzdanu provjeru identiteta i autentičnosti osoba koje imaju autoriziran pristup,
– mehanizme koji će osigurati dovoljno informacija za provođenje istrage o otkrivanju ili slučajnoj kompromitaciji povjerljivosti, integriteta i dostupnosti klasificiranih informacija i pratećih servisa i resursa,
– informacije i mehanizmi kojima se kontrolira pristup sustavu trebaju biti nadzirani i štićeni pod uvjetima pod kojima se nadziru i štite informacije najvećeg stupnja tajnosti do kojih je moguć pristup putem sustava,
– organizaciju pristupa do podataka u komunikacijsko-informacijskom sustavu temeljenu na mogućnosti pristupa isključivo samo do onih podataka koji su neophodno potrebni autoriziranim osobama za njihov rad,
– mehanizme za verifikaciju integriteta i originalnosti informacija i pratećih servisa i resursa,
– mehanizme za održavanje integriteta klasificiranih informacija i pratećih servisa i resursa,
– mehanizme za održavanje dostupnosti klasificiranih informacija i pratećih servisa i resursa,
– mehanizme za kontrolu povezivanja sustava koji obrađuju klasificirane informacije,
– mehanizme za kontrolu pouzdanosti poduzetih mjera,
– mehanizme za procjenu i verifikaciju pravilnog funkcioniranja zaštitnih mehanizama tijekom životnog ciklusa sustava,
– mehanizme za istraživanje i nadzor korisničkih i sustavnih